De functie “Windows Defender Application Guard” van Windows 10 voert de Microsoft Edge-browser uit in een geïsoleerde, gevirtualiseerde container. Zelfs als een kwaadwillende website misbruik zou maken van een fout in Edge, kan dit uw pc niet in gevaar brengen. Application Guard is standaard uitgeschakeld.
Vanaf de update van april 2018 kan iedereen die Windows 10 Professional gebruikt, nu Application Guard inschakelen. Voorheen was deze functie alleen beschikbaar in Windows 10 Enterprise. Als je Windows 10 Home hebt en Application Guard wilt, moet je upgraden naar Pro.
systeem vereisten
Windows Defender Application Guard, ook wel Application Guard of WDAG genoemd, werkt alleen met de Microsoft Edge-browser. Wanneer u deze functie inschakelt, kan Windows Edge uitvoeren in een beschermde, geïsoleerde container.
Concreet gebruikt Windows de Hyper-V-virtualisatietechnologie van Microsoft. Daarom vereist Application Guard dat u een pc hebt met Intel VT-X- of AMD-V-virtualisatiehardware. Microsoft somt ook andere systeemvereisten op, waaronder een 64-bits CPU met minimaal 4 cores, 8 GB RAM en 5 GB vrije ruimte.
Windows Defender Application Guard inschakelen
Om deze functie in te schakelen, gaat u naar Configuratiescherm> Programma’s> Windows-onderdelen in- of uitschakelen.
Controleer de optie “Windows Defender Application Guard” in de lijst hier en klik vervolgens op de knop “OK”.
Als je de optie niet in deze lijst ziet, gebruik je een Home-versie van Windows 10 of heb je nog geen upgrade naar de update van april 2018 uitgevoerd.
Als u de optie ziet, maar deze wordt grijs weergegeven, ondersteunt uw pc deze functie niet. Mogelijk hebt u geen pc met Intel VT-x- of AMD-V-hardware, of moet u Intel VT-X inschakelen in het BIOS van uw computer. De optie wordt ook grijs weergegeven als u minder dan 8 GB RAM heeft.
Windows installeert de functie Windows Defender Application Guard. Als het klaar is, wordt u gevraagd uw pc opnieuw op te starten. U moet uw pc opnieuw opstarten voordat u deze functie kunt gebruiken.
Edge starten in Application Guard
Edge werkt standaard nog steeds in de normale browsemodus, maar u kunt nu een beveiligd browservenster openen dat wordt beschermd met de functie Application Guard.
Start hiervoor eerst Microsoft Edge op de normale manier. Klik in Edge op Menu> Nieuw Application Guard-venster.
Er wordt een nieuw, apart Microsoft Edge-browservenster geopend. De oranje “Application Guard” -tekst in de linkerbovenhoek van het venster geeft aan dat het browservenster is beveiligd met Application Guard.
U kunt vanaf hier extra browservensters openen – zelfs extra InPrivate-vensters voor privé browsen – en ze hebben ook de oranje tekst “Application Guard”.
Het Application Guard-venster heeft ook een apart taakbalkpictogram van het normale Microsoft Edge-browserpictogram. Het heeft een blauw Edge “e” -logo met een grijs schildpictogram eroverheen.
Wanneer u bepaalde soorten bestanden downloadt en opent, kan Edge documentviewers of andere soorten toepassingen starten in de modus Application Guard. Als een applicatie in de Application Guard-modus wordt uitgevoerd, ziet u hetzelfde grijze schildpictogram boven het taakbalkpictogram.
In de Application Guard-modus kunt u Edge’s favorieten of leeslijstfuncties niet gebruiken. Elke browsergeschiedenis die u maakt, wordt ook verwijderd wanneer u zich afmeldt bij uw pc. Alle cookies van de huidige sessie worden gewist wanneer u ook uit uw pc zingt. Dit betekent dat u zich elke keer dat u de Application Guard-modus gaat gebruiken opnieuw moet aanmelden bij uw websites.
Downloads zijn ook beperkt. De geïsoleerde Edge-browser heeft geen toegang tot uw normale bestandssysteem, dus u kunt geen bestanden naar uw systeem downloaden of bestanden uploaden van uw normale mappen naar websites in de modus Application Guard. U kunt de meeste soorten bestanden niet downloaden en openen in de modus Application Guard, inclusief .exe-bestanden, hoewel u pdf’s en andere soorten documenten wel kunt bekijken. Bestanden die u downloadt, worden opgeslagen in een speciaal Application Guard-bestandssysteem en worden gewist nadat u zich afmeldt bij uw pc.
Andere functies, waaronder kopiëren en plakken en afdrukken, zijn ook uitgeschakeld voor Application Guard-vensters.
Microsoft heeft enkele opties toegevoegd om deze beperkingen te verwijderen, als u dat wilt, maar dit zijn de standaardinstellingen.
Hoe Windows Defender Application Guard te configureren
U kunt Windows Defender Application Guard en zijn beperkingen configureren via Groepsbeleid. Als u Application Guard op uw eigen zelfstandige Windows 10 Professional-pc gebruikt, kunt u de Editor voor lokaal groepsbeleid starten door op Start te klikken, “gpedit.msc” te typen en vervolgens op Enter te drukken.
(De Groepsbeleid-editor is niet beschikbaar in Home-edities van Windows 10, maar de functie Windows Defender Application Guard ook niet.)
Navigeer naar Computerconfiguratie> Beheersjablonen> Windows-componenten> Windows Defender Application Guard.
Om “data persistence” in te schakelen en Application Guard uw favorieten, browsergeschiedenis en cookies te laten opslaan, dubbelklikt u hier op de “Allow data persistence for Windows Defender Application Guard” instelling, selecteert u “Enabled” en klikt u op “OK”. Application Guard wist de gegevens niet nadat u zich afmeldt bij uw pc.
Om Edge bestanden naar uw normale systeemmappen te laten downloaden, dubbelklikt u op de instelling “Sta bestanden toe om te downloaden en op te slaan op het hostbesturingssysteem van Windows Defender Application Guard”, stelt u deze in op “Ingeschakeld” en klikt u op “OK”.
Bestanden die u downloadt in de modus Application Guard, worden opgeslagen in de map “Niet-vertrouwde bestanden” in de normale map Downloads van uw Windows-gebruikersaccount.
Om Edge toegang te geven tot uw normale systeemklembord, dubbelklikt u op de optie “Configureer Windows Defender Application Guard klembordinstellingen”. Klik op “Ingeschakeld” en pas uw klembordinstellingen aan met behulp van de instructies hier. U kunt bijvoorbeeld klembordbewerkingen inschakelen van de Application Guard-browser naar het normale besturingssysteem, van het normale besturingssysteem naar de Application Guard-browser, of op beide manieren. U kunt ook kiezen of u het kopiëren van tekst, het kopiëren van afbeeldingen of beide wilt toestaan. Klik op “OK” als u klaar bent.
Microsoft raadt u aan kopiëren van uw hostbesturingssysteem naar de Application Guard-sessie niet toe te staan. Als u dat doet, kan een gecompromitteerde Application Guard-browsersessie gegevens van het klembord van uw computer lezen.
Dubbelklik op de optie “Configureer Windows Defender Application Guard-afdrukinstellingen” om afdrukken in te schakelen. Klik op “Ingeschakeld” en pas uw printerinstellingen aan met de opties hier. U kunt bijvoorbeeld “4” invoeren om alleen naar lokale printers te kunnen afdrukken, “2” om alleen naar PDF-bestanden af te drukken, of “6” om alleen naar lokale printers en PDF-bestanden te kunnen afdrukken. Klik op “OK” als u klaar bent.
Als u afdrukken naar PDF- of XPS-bestanden inschakelt, kunt u met Application Guard die bestanden opslaan op het normale bestandssysteem van het hostbesturingssysteem.
U moet uw pc opnieuw opstarten nadat u deze instellingen hebt gewijzigd. Ze worden pas van kracht als u dat doet.
Ondanks dat de Groepsbeleid-editor zegt dat deze instellingen Windows 10 Enterprise vereisen, ontdekten we dat ze prima werkten op Windows 10 Professional met de update van april 2018. Iemand bij Microsoft is waarschijnlijk vergeten de documentatie bij te werken.
Als u meer informatie nodig hebt over wat deze instellingen voor groepsbeleid doen, raadpleegt u de Microsoft Windows Defender Application Guard-groepsbeleiddocumentatie.
En als u geïnteresseerd bent in de beveiligingsfuncties van Windows 10, neem dan een kijkje bij Gecontroleerde maptoegang, waarmee u uw bestanden tegen ransomware kunt beschermen. Deze functie is ook standaard uitgeschakeld.
